| 第1章 総則 |
 |
(目的)
第1条 この基準は、「個人情報取扱規程」第13条第2 項及び「資料の収集、管理及び閲覧規程」第12条に基づき、(株)猿橋鑑定システム(以下「弊社」という。)が取り扱う情報及び情報システムの適切な運用を図るために、役員、顧問、相談役並びに職員及び嘱託(以下「従業者」という。)が最低限遵守すべき事項を明らかにし、もって情報の漏えい、き損、滅失等の事故の防止、情報システムの適切な運用、及び万が一の事故の場合の損害を最低限にすることを目的とする。
(他の規程等との関係)
第2条 個人情報の取扱いについては、「個人情報取扱規程」、並びに保存文書については、「保存文書規程」が本基準に優先するものとする。 |
|
| 第2章 情報の指定・解除 |
|
(情報の指定・解除)
第3条 弊社が保有する情報のうち、漏えい等が発生した場合、弊社に重大な損害を及ぼすおそれが高い情報を秘密情報として指定する。
2 秘密情報の指定は、各業務の部門責任者がこれを認定し所長の承認を得て決定する。
3 秘密情報が記載された紙の文書を秘密文書という。
4 秘密情報を指定した者又は所長は、その情報が秘密でなくなった場合には、所長の承認を得て秘密情報であることを解除することができる。
(秘密であることの明示)
第4条 秘密情報には、秘密であることを表示する。
2 秘密情報が解除された場合は、秘密の表示を消去又は取り消し線で消す。 |
|
| 第3章 秘密情報の取扱い |
|
(保管)
第5条 秘密文書を業務時間外に保管する場合は、キャビネット等に保管し、施錠する。
2 前項については、フロッピーディスク、CD-ROM その他の携帯することが可能な電子媒体(以下、「携帯可能媒体」という。)に保存する場合も同じものとする。
3 コンピュータ上に保管する場合は、最低限、ID とパスワードにより認証されるコンピュータ上に保管する。
(作業上の注意点)
第6条 業務時間内に一時的に離席する場合、秘密文書を机上等に放置せず、机の引き出しその他目につかない場所に一時的に保管する。
2 コンピュータ等の画面に秘密情報が表示されている場合、スクリーンセーバー等を起動し、秘密情報が画面に表示された状態のまま離席しない。
(持ち出しの制限)
第7条 秘密文書、秘密情報を保管した携帯可能媒体又はコンピュータを事務所外に持ち出すときは、所属する部門責任者又は所長の承認を得る。
(郵送、FAX、電子メールの制限)
第8条 秘密文書又は秘密情報を保管した携帯可能媒体を郵送する場合は、事前に所属する部門責任者又は所長の承認を得た上で、書留等、受取が確実に行われたことがわかる通信手段により行う。
2 秘密文書をFAX で送信してはならない。
3 電子メールで秘密情報を送信する場合は、事前に所属する部門責任者または所長の承認を得た上で、暗号化又はパスワードによる保護をし、送信する。
(印刷・複写・複製の制限)
第9条 秘密情報を印刷、複写、複製する場合は、所属する部門責任者または所長の承認を得る。
(廃棄・返却)
第10条 秘密情報が保管された保存文書の廃棄は、別に定める保存文書規程に指定する方法による。
2 携帯可能媒体を廃棄する場合は、専用ソフトによる上書消去、携帯可能媒体の細断、焼却、溶解等復元できない方法による。
3 コンピュータを廃棄又はリース会社へ返却する場合は、廃棄又は返却する前に専用ソフトによる上書消去をする。この作業は、守秘義務契約を結んだ第三者に委託することができる。 |
|
| 第4章 認証及びアクセス管理 |
|
(ID の登録・休止・廃止)
第11条 弊社のコンピュータを利用する場合、所長又は部門責任者は事前に利用者に対しID を付与する。
2 ID を付与された者は、ID を適切に管理する。
3 ID を付与された者が長期休暇、休職等一ヶ月以上弊社のコンピュータを利用することがないと想定される場合、速やかにID の利用を停止する。
4 ID を付与された者が退会等、弊社のコンピュータを利用する必要がなくなった場合、速やかにID の利用を停止する。
(パスワード等による認証)
第12条 弊社のコンピュータを利用する者は、パスワード等により認証する。
(パスワードの条件)
第13条 パスワードは8 文字以上とする。
2 パスワードは、英数字、数字及び特殊文字の組み合わせとする。
3 パスワードは3 ヶ月に一度以上変更する。
(利用者のパスワード等の管理)
第14条 パスワードにより本人を認証する場合、コンピュータの利用者は、他人に推測されにくいパスワードをつけ、他人に漏れないように適切に管理する。
2 ID カード等のパスワード以外の認証手段を用いる場合、ID カード等を付与された者は、ID カード等を紛失しないように適切に管理すること。紛失した場合は、総務部門責任者又は所長に速やかに連絡する。
(アクセス権の管理)
第15条 秘密情報をコンピュータに保存する場合、秘密情報を閲覧する権限がない者が閲覧できない状態となるようにアクセス権を設定する。
2 業務が変更になる等、アクセス権を付与されていた者にアクセス権を付与する必要がなくなった場合は、速やかにアクセス権を削除する。 |
|
| 第5章 コンピュータの適正利用 |
|
(弊社のコンピュータの利用の前提)
第16条 弊社のコンピュータを利用するに当たり、自らのコンピュータ利用状況が記録され、確認される可能性があることに同意した者のみに、弊社のコンピュータの利用を認める。
(私的利用の禁止)
第17条 弊社のコンピュータ利用者は、弊社業務の目的のみにコンピュータを利用し、私的な利用をしてはならない。
2 弊社のコンピュータ利用者は、弊社業務の目的のみに電子メールを利用し、私的な利用をしてはならない。
3 弊社のコンピュータ利用者は、弊社業務の目的のみに、インターネットのホームページを閲覧し、私的な利用をしてはならない。
4 総務部門責任者又は所長は、必要に応じ、不必要なインターネットホームページへのアクセスを制限するソフトを導入することができる。
5 総務部門責任者又は所長は、必要に応じ、弊社コンピュータ利用者のコンピュータ利用状況を確認することができる。
6 総務部門責任者又は所長は、上記の確認の結果、第1 項から第3 項に違反している可能性があると判断した場合は、本人から事情を聴取し、違反があればコンピュータの利用を停止することができる。
(ソフトウェアライセンスの管理)
第18条 総務部門責任者は、弊社のコンピュータに標準的にインストールするソフトウェアを定め、ライセンスを適切に管理しなければならない。
(ソフトウェアの無断インストールの禁止)
第19条 弊社のコンピュータ利用者は、弊社が認めたソフトウェアのみをインストールして利用し、その他のソフトウェアを無断でインストールしてはならない。
2 弊社のコンピュータ利用者は、業務上の理由によりソフトウェアをインストールする必要が生じた場合、総務部門責任者又は所長に承認を得て、当該ソフトウェアをインストールしなければならない。
3 総務部門責任者は、無断でインストールしたソフトウェアを発見した場合、弊社のコンピュータ利用者に対し、そのソフトウェアを消去することを指示しなければならない。
(コンピュータウィルス対策ソフトの導入)
第20条 総務部門責任者は、弊社で利用する全てのコンピュータにコンピュータウィルス対策ソフトをインストールしなければならない。
2 弊社のコンピュータ利用者は、コンピュータウィルス対策ソフトが起動している状態でコンピュータを利用しなければならない。
3 コンピュータウィルスのパターンファイル又はソフトウェアは、常に最新に保たれるように設定されるものとする。
(システム上の脆弱性の管理)
第21条 総務部門責任者は、弊社で利用するコンピュータについて、オペレーティングシステムのバグその他のシステム上の脆弱性の存在を知った場合、セキュリティパッチソフトの導入その他の対策を検討しなければならない。
第22条 弊社のコンピュータ利用者は、総務部門責任者の指示によりセキュリティパッチソフトの導入が指示された場合、速やかに導入を行わなければならない。 |
|
| 第6章 ネットワーク及びサーバの管理 |
|
(管理者の設置と役割)
第23条 弊社のネットワーク機器、サーバ及びクライアについて、システム管理者を設置する。
2 システム管理者は、ネットワーク機器、サーバについての運用管理を行う。
(サーバの管理)
第24条 弊社のサーバのシステム管理者は、サーバに対するアクセス制御方針を定め、外部、内部からの無権限アクセスを防止する。
(ネットワークの管理)
第25条 弊社のネットワーク機器のシステム管理者は弊社のネットワークと外部のネットワークの接続についてのアクセス制御方針を定め、外部からの無権限アクセスを防止する。
(アクセスログの採取と検査)
第26条 ネットワーク機器及びサーバのシステム管理者は、アクセスログ採取及び検査についての方針を定め、アクセスログの採取及び検査を行う。
(個人情報を用いたテストの禁止)
第27条 システム開発に関連し、システム開発テストを実施する場合、個人情報を用いてはならない。
(データのバックアップおよびリカバリーテストの実施)
第28条 システム管理者は、サーバに保管されているデータのバックアップ及びリカバリー方針を定めなければならない。
2 システム管理者は、サーバのデータバックアップを、方針に従い定期的に実施しなければならない。
3 システム管理者は、方針に従い定期的にリカバリーテストを実施しなければならない。
4 システム管理者は、リカバリーテストの結果を踏まえて、バックアップ及びリカバリー方針を変更しなければならない。 |
|
| 第7章 物理的・環境的対策 |
|
(セキュリティ区画の設定)
第29条 弊社の施設を、外部者が入室できる区画(以下、「レベル1区画」という。)と、事前に承認された者が入室できる区画(以下、「レベル2区画」という。)、レベル2の区画にあり、特定の権限を与えられた者だけがアクセス(入室を含む)できる区画(以下、「レベル3区画」という。)に区分する。
(入室管理)
第30条 外部者がレベル1区画に入室する場合は、弊社の役職員が必ず同席する。
2 外部者がレベル2区画に入室する場合は、弊社の役職員が必ず同伴し、役職員の指示に従い行動してもらうように依頼する。
3 外部者がレベル3区画にアクセスする場合は、レベル3区画にアクセスすることができる役職員が必ず同伴し、当該役職員の指示に従い行動してもらうように依頼する。
(キャビネット、コンピュータ等の設置)
第31条 秘密文書を保管するキャビネットは、レベル2区画に設置する。
2 サーバ及びクライアントコンピュータは、レベル2区画に設置する。
3 ネットワーク機器は、レベル2区画に設置することを原則とする。
4 レベル1区画に設置するネットワーク機器は盗難又は外部者の事故等による破損を防止するために、施錠管理その他の適切な物理的対策を実施する。 |
|
| 第8章 教育・訓練 |
|
(教育・訓練)
第32条 情報セキュリティに関する教育を定期的に実施する。
2 技術的対策が確実に実施できるように、必要に応じ、訓練を実施する。
(教育・訓練の記録)
第33条 情報セキュリティに関する教育・訓練を実施した記録を保持する。 |
|
| 第9章 委託管理 |
|
(委託先の選定)
第34条 弊社の業務を外部に委託する場合、委託先を選定するための条件として、委託先の情報管理についても考慮する。
(契約書の締結)
第35条 弊社の業務を外部に委託する場合、委託先と業務委託契約を締結し、両者の責任の範囲及び実施する業務を明確にする。
2 契約書又はその覚書に次条の委託先に要求すべき情報セキュリティに関する事項を含めるように努める。
(委託先に要求すべき情報セキュリティに関する事項)
第36条 委託先に要求すべき情報セキュリティに関する事項として、以下の事項を要求する。
1)弊社で要求している情報セキュリティに関する事項の遵守。
2)委託先の業務の遂行における情報セキュリティ関連事項について弊社に対する定期的な報告。
3)弊社の役職員又は弊社が委託した者等が、委託先の業務の遂行における情報セキュリティ関連事項の遵守状況を検査又は監査による確認。
(委託先からの報告)
第37条 業務委託を行った部門責任者は、業務の遂行におけるセキュリティ関連事項について、委託先から定期的な報告をうけなければならない。
2 必要に応じ、委託先との間で定期的な報告会を開催するよう努めることとする。
(委託先への確認)
第38条 業務委託を行った部門責任者は、委託先の情報セキュリティ関連事項の契約事項の遵守状況を検査又は監査により年に1 度以上確認する。
2 前項の確認は、外部の専門家に委託することができる。 |
|
| 第10章 事件・事故への対応 |
|
(事件・事故への対応)
第39条 ネットワーク機器及びサーバのシステム管理者は、アクセスログの検査の結果、不正なアクセスを発見又はそのおそれを発見した者は、総務部門責任者及び契約しているシステム運用委託先に連絡しなければならない。
2 前項の場合、総務部門責任者は、システム管理者及びシステム運用委託先と相談し、対応を決めなければならない。
3 個人情報の漏えい事故の場合は、別途定める事故に関する規定に従い対応する。 |
|
| 第11章 情報セキュリティ実施状況の確認 |
|
(監査人の選任)
第40条 所長は、情報セキュリティ監査を実施する者を選任する。
2 情報セキュリティ監査を実施する者を外部の専門家に委託することができる。
(監査の実施と報告)
第41条 情報セキュリティ監査を実施する者は、情報セキュリティに関する規程等が遵守されていることを年に1度以上、監査により確認しなければならない。
2 上記の監査は、第38条に規定する委託先への検査又は監査による確認を含む。
(監査の報告)
第42条 所長は、情報セキュリティ監査の報告を受ける。
2 所長は、監査の結果、重大な問題が発見された場合は、役員会に報告しなければならない。
(監査結果に基づく改善)
第43条 役員会は、必要に応じて情報セキュリティ監査の結果に基づく改善を指示しなければならない。 |
